無料 HTMLエスケープ / アンエスケープ オンライン
HTMLエンティティをオンラインでエスケープ・アンエスケープ — 特殊文字を安全なエンティティに即座に変換。
入力
出力
HTMLエスケープとは?
ユーザーコメントを表示するページを作っていて、誰かが<script>alert(1)</script>を送信してきたとします。エスケープせずにレンダリングすれば、XSS脆弱性を出荷してしまいます。HTMLエスケープは5つの危険な文字(&、<、>、"、')をHTML Living Standardで定義された安全なエンティティに変換します。MDNエンティティリファレンスに完全なリストがあります。
このツールには2つのモードがあります:エスケープとアンエスケープ。どちらもブラウザで完全に動作し、サーバーにデータは送信されません。
このツールの使い方
モードを選択
エスケープを選択して特殊文字をHTMLエンティティに変換するか、アンエスケープを選択してエンティティを元の文字に戻します。
テキストを貼り付けまたはアップロード
左のエディタにテキストやHTMLを貼り付けるか、アップロードを使ってファイルを読み込みます。
結果をコピーまたはダウンロード
右のパネルが自動的に更新されます。HTMLを整形するには、HTMLフォーマッターツールをお試しください。
HTMLエスケープ例
エスケープは特殊文字をHTMLエンティティに変換します:
生の入力(特殊文字あり)
エスケープ後の出力(HTMLエンティティ)
HTMLエスケープが重要な場面
ユーザー提供のコンテンツをHTMLで表示する場合、XSS攻撃を防ぐために最初にエスケープする必要があります。
アンエスケープは、HTMLエスケープされたコンテンツを受け取って元のテキストを表示したい場合に役立ちます。アンエスケープモードで起動するHTMLアンエスケープもご覧ください。
よくある質問
HTMLエスケープツールはどの文字を変換しますか?
5つの標準HTMLエンティティ:& → &、< → <、> → >、" → "、' → '。
データはサーバーに送信されますか?
いいえ。すべての処理はJavaScriptを使用してブラウザで完全に実行されます。テキストはマシンから出ることはありません。
HTMLエスケープはURLエンコーディングと同じですか?
いいえ。HTMLエスケープはHTMLコンテキスト用に名前付き/数値エンティティを使用します。URLエンコーディングはURL用にパーセントエンコーディングを使用します。
HTMLエスケープはどのようにXSS攻撃を防ぎますか?
<と>をエンティティに変換することで、注入された<script>タグは実行可能なコードではなく無害なテキストになります。
関連ツール
HTML Living Standardの文字参照を参照してください。